Ramverk för hantering av verksamhetsrisker (ERM)

Att vara verksam på en rad olika geografiska produkt- och tjänstemarknader i den starkt konkurrensutsatta och reglerade telekombranschen medför att TeliaSonera exponeras för ett antal risker och osäkerhetsfaktorer. TeliaSonera har definierat begreppet risk som allt som kan ge en väsentlig negativ effekt på uppnåendet av TeliaSoneras mål. Risker kan vara hot, osäkerhetsfaktorer eller förlorade möjligheter som hör samman med TeliaSoneras nuvarande eller framtida verksamheter eller aktiviteter. Risker och osäkerhetsfaktorer relaterade till verksamhet och hållbarhet samt till aktieägarfrågor beskrivs i Risker och osäkerheter och finansiella risker i not K26 i koncernredovisningen.

Tre försvarslinjer – integrerad styrning, riskhantering och efterlevnad

TeliaSoneras riskhantering kan beskrivas som ett trelinjers försvar som utgör en integrerad del av koncernens operativa verksamhet, affärsplaneringsprocess och övervakning av verksamhetsresultat. Risker som kan utgöra ett hot mot uppnåendet av affärsmål identifieras och utvärderas, och åtgärder vidtas för att begränsa och övervaka de identifierade riskerna. Syftet är att inte endast fokusera på riskerna ur ett negativt perspektiv utan också att bekräfta att framgångsrik riskhantering är nödvändig för strategigenomförande och hållbar tillväxt.

Riskhantering i verksamheten – försvarslinjer

Risker och osäkerhetsfaktorer

Roller och ansvar i försvarslinjerna inbegriper:

  • Första linjens försvar: Linjeorganisationen äger sina operativa risker och har respektive utkrävs ansvar för riskbedömning, riskkontroll och risklindring samt för intern kontroll-aktiviteter och tillförsäkran
  • Andra linjens försvar: Omfattar funktionen för hantering av verksamhetsrisker (ERM) på koncernnivå, internkontrollfunktionen inom koncernfinans, koncernenheten för etik och efterlevnad samt mötena för hantering av styrning, risk, etik och efterlevnad (GREC)
  • Tredje linjens försvar: Koncernens internrevisionsenhet ger oberoende tillförsäkran avseende riskhanteringsprocessen och internkontrollmiljön. Utomstående parter, som externrevisorerna och regulatoriska myndigheter, ger tillförsäkran med avseende på specifika lagstadgade krav, till exempel information som presenteras i koncernredovisningen eller rapporteras till Finansinspektionen

Riskhanteringsprocessen

TeliaSoneras koncerninstruktioner om riskhantering definierar, som en bas för första linjens försvar, roller och ansvar samt huvudbeståndsdelarna i riskhanteringsprocessen, vilka är riskbedömning, riskåtgärdande och kontinuerlig övervakning.

Riskhantering – processflöde

Målsättningen med den kontinuerliga riskhanteringsprocessen är att alla risker som kan förhindra uppfyllandet av TeliaSoneras mål regelbundet bedöms, åtgärdas och övervakas.

Riskhanteringen ska vara helt integrerad i affärsprocesserna. Riskhanteringsprocedurerna ska vara transparenta, genomförbara och spårbara. Ledningen ska försäkra sig om att en personlig känsla för ansvar och en gemensam syn på och medvetenhet om risk skapas hos medarbetarna samt främja ansvarsutkrävande för risker i det dagliga beslutsfattandet. Riskrapporteringen är integrerad i affärsplaneringsprocessen och risker ska granskas på verksamhetsgenomgångarna och eskaleras genom linjeorganisationen.

Revisionsutskottet och styrelsen erhåller kvartalsvis en samlad riskrapport, samordnad med styrelsens årliga arbetscykel som beskrivs i avsnittet ”Styrelse”. Den samlade rapporten är indelad i fyra riskkategorier:

  • Finansiella risker
  • Verksamhetsrelaterade risker
  • Landsrelaterade risker
  • Legala och regulatoriska risker

Inom var och en av dessa kategorier presenteras riskerna antingen som koncernövergripande eller på regionnivå med en:

  • Riskbeskrivning
  • Beskrivning av aktiviteter för att mildra riskerna
  • Potentiell finansiell påverkan då det är möjligt
  • Sannolikhetsgradering (låg, medel och hög risk)

Därutöver erhåller revisionsutskottet kvartalsvis en samlad rapport över rättstvister med kortfattade detaljer avseende legala och administrativa processer som är pågående, i vänteläge och hotade. Varje fallbeskrivning innehåller även påstådd nominell och uppskattad finansiell påverkan när så är möjligt samt en sannolikhetsgradering (låg, medel och hög risk).

Ledningen ska aktivt, återkommande och i rätt tid utvärdera och bedöma risk och efterlevnad för att försäkra sig om att alla medarbetare är medvetna om och vidtar åtgärder för att efterleva gällande krav. Efterlevnad innebär anpassning såväl externa som interna krav såsom:

  • Gällande lagstiftning och reglering
  • Kundavtal
  • Internationella standarder och normer
  • Koncernpolicys och koncerninstruktioner

De mest betydelsefulla riskområdena övervakas av riskhanteringsfunktionen inklusive GREC-mötena (se avsnitten ”Koncernfunktion för hantering av verksamhetsrisker” och ”Möten ägnade åt styrning, risk, etik och efterlevnad (GREC)”), internkontrollfunktionen inom koncernfinans (se avsnittet ”Intern kontroll över finansiell rapportering”) samt koncernenheten för etik och efterlevnad (se avsnittet ”Ramverk och program för efterlevnad”).

Funktion för hantering av verksamhetsrisker (ERM) på koncernnivå

Chefen för funktionen för hantering av verksamhetsrisker (ERM), som ingår i koncernfunktionen affärsutveckling, agerar som ägare av den koncerngemensamma ERM-processen för att säkerställa en strukturerad hållning avseende riskhantering, efterlevnad och rapportering inom koncernen. Funktionsansvaret omfattar att:

  • Definiera och äga det koncerngemensamma riskramverket och koncerngemensamma processer
  • Tillhandahålla utbildning, stöd och vägledning till linjeorganisationen
  • Koordinera GREC-möten och säkerställa enhetlighet över organisationsnivåerna
  • Koordinera och driva koncerngemensamma satsningar på förbättring av riskhantering och efterlevnad
  • Underlätta diskussioner i risk- och efterlevnadsforum och fortlöpande övervaka riskutvecklingen
  • Rapportera till GREC-möten och styrelsen

Ramverk och program för efterlevnad

Som ytterligare ett stöd till första försvarslinjen har TeliaSonera infört ett ramverk för att möjliggöra ett systematiskt arbete med efterlevnadsfrågor. Efterlevnadsramverket består av åtta steg som är grundade på en tydlig inriktning från ledningen. Det är utformat för att följa internationell standard och är baserat på principerna förebygga, upptäcka och undersöka.

Ramverk för efterlevnad

Prioriterade riskområden har identifierats baserade på riskbedömningar. De mest betydelsefulla riskerna övervakas av koncernenheten för etik och efterlevnad och hanteras i enlighet med ramverket genom ämnesspecifika efterlevnadsprogram för att säkerställa enhetlighet och uppföljning i införande och rapportering. De för närvarande prioriterade riskområdena avspeglas av följande pågående program:

  • Anti-korruption
  • Yttrandefrihet
  • Kundintegritet
  • Arbetsmiljö, hälsa och säkerhet

Ytterligare information avseende tillvägagångssätt och arbete inom respektive område återfinns i Hållbarhetsarbete, avsnitten ”Hållbarhet i TeliaSonera”, ”Anti-korruption”, ”Yttrandefrihet”, ”Kundintegritet” samt ”Arbetsmiljö, hälsa och säkerhet”.

Grec-möte (koncernnivå) – deltagare och riskkategorier

Möten ägnade åt styrning, risk, etik och efterlevnad (GREC)

GREC-mötenas syfte är att agera som de främsta styrande organen inom risk och efterlevnad och att utvärdera risknivåer och föreslå aktiviteter för att mildra riskerna.

Vid GREC-mötena, som hålls minst kvartalsvis, samlas ledningen för att uppdatera, diskutera, besluta och följa upp pågående aktiviteter och satsningar inom de olika riskområdena och fokusområdena inom hållbarhet. Syftet med GREC-mötena är att:

  • Sammanställa och bedöma riskrapporter från länder, regioner och koncernfunktioner
  • Granska risknivåer i relation till riskaptit och besluta om riskbemötande
  • Följa upp planer för lindring av risker och verkställigheten inom viktiga riskområden
  • Sammanställa risk- och efterlevnadsrapporter samt handlingsplaner till styrelsens revisionsutskott
  • Bygga en riskmedveten kultur

GREC-möten hålls på koncern-, region- och landsnivå. På koncernnivå leder koncernchefen GREC-mötena som består av koncernledningen utökad med chefen för CEO Office, chefen för koncernfunktionen för hantering av verksamhetsrisker, chefen för koncernenheten etik och efterlevnad samt chefen för koncernenheten för internrevision. Syfte, agenda och deltagare på lokala GREC-möten speglar mötena på koncernnivå. För region Eurasien hanteras GREC-frågor på koncernnivå av en styrgrupp som leds av koncernchefen (se avsnittet ”Koncernchefen och koncernledningen” för ytterligare information).

Whistle blowing-processen

Speak-up line

2015 var det första hela verksamhetsåret för TeliaSoneras Speak-up line, ett whistle blowing-verktyg som gör det möjligt för medarbetare och andra att anonymt rapportera kränkningar av god redovisningssed, korrekt rapportering eller god intern kontroll liksom bristande efterlevnad av lokal lagstiftning eller brott mot TeliaSoneras policys och etiska instruktioner. Under året fastlades de underliggande processerna för rapportering av ärenden och undersökningar till styrelse och ledning. Även en koncernövergripande standard för utförande av interna utredningar beslutades. Ledstjärnan är säkerställande av att utredningar genomförs på ett objektivt och opartiskt sätt; bedrivs så att fakta snabbt fastställs med ett minimum av störningar för affärsverksamheten eller medarbetares privatliv; samt att säkerställa att sekretess och icke-vedergällning alltid respekteras.

Till läsaren av denna rapport: Om du anser att det finns brister i TeliaSoneras finansiella rapportering eller om du misstänker oegentligheter inom TeliaSonera-koncernen kan du anmäla detta till:
secure.ethicspoint.eu/domain/media/sv/gui/101615/index.html

Whistle blowing-ärenden under 2015

Under året registrerades 141 whistle blower-ärenden. Av dessa inleddes 27 undersökningar av enheten för särskilda utredningar inom koncernenheten för etik och efterlevnad. 42 ärenden avsåg personalfrågor och vidarebefordrades till koncernfunktionen personal. 72 ärenden sändes för information till andra enheter (till exempel kund- eller leverantörsklagomål) eller avslutades efter en inledande granskning och svar till berörd whistle blower (till exempel fall rörande etiska förebråelser).

Under 2014 registrerades totalt 73 ärenden av vilka 42 avsåg whistle blowing om försummelser och 31 rörde personalfrågor. Dubblering av antalet ärenden kan delvis tillskrivas utbildning och medvetenhet och delvis till förbättrade registreringsrutiner.

Av de 141 whistle blowing-ärendena under 2015 mottogs 62 procent via Speak-up line. 17 procent sändes till e-postadressen för Speak-up line, 14 procent mottogs via direktkontakt med ansvariga för etik och efterlevnad på koncernnivå eller lokalt, 4 procent rapporterades via linjechefer och 3 procent via e-post direkt till TeliaSoneras högsta ledning.

Etiska betänkligheter eller förebråelser gentemot ledningen var vanligast bland de rapporterade ärendena, särskilt från region Sverige. Andra väsentliga frågor omfattade missbruk av ställning, intressekonflikter, diskriminering och trakasserier. Flera leverantörer klagade över partiska anbudsresultat.

Flertalet ärenden anmäldes från regionerna Sverige och Eurasien. Av alla ärenden var 40 procent anmälda anonymt eller av rapportörer som ville vara anonyma.

Utredningsstöd på förfrågan av chefer registrerades separat under 2015, med 13 sådana undersökningar jämfört med 19 under 2014. Från och med 2016 kommer dessa förfrågningar att ingå i statistiken för Speak-up line.

När beskyllningar visade sig vara underbyggda fattades 17 disciplinära beslut av koncernens etikforum. Flertalet beslut innebar att medarbetare fick sluta men i en del fall utfärdades även varningar. Under 2015 utbilda-des medarbetare och linjechefer i korrekt registrering av ärenden samt hur de ska sändas vidare, vilket gör det möjligt för enheten för särskilda utredningar att säkerställa konsistens i utredningsprocessen och genomförandet av disciplinåtgärder.

Konsoliderade ärenderapporter presenterades för revisionsutskottet fortlöpande under året. Rapporterna omfattande beskyllningar av viss betydelse, utvecklingen för pågående utredningar samt de slutliga resultaten av utredningarna. Samtliga rapporter om avslutade utredningar överlämnades till koncernens etikforum för tillsyn och beslut om disciplinåtgärder.

För att ytterligare öka mognaden i vårt ansvarsfulla företagande fattades överenskommelse om två nyckeltal avseende interna utredningar:

  • Procentuell andel av whistle blowing-ärenden som avslutas inom 8 veckor, med ett mål om 80 procent, vilket bedöms som uppnåeligt då mer än 70 procent av alla ärenden under 2015 avslutades inom 8 veckor
  • Procentuell andel av disciplinåtgärder som verkställs inom 4 veckor efter beslut av koncernens etikforum med ett mål om 100 procent. Under 2015 uppnåddes endast 50 procent av målet. Detta nyckeltal kommer därigenom att vara till stor hjälp för att fokusera ledningen på snabbt genomförande av beslut om disciplinåtgärder

© TeliaSonera 2015
I händelse av skillnader mellan denna online version av Års- och hållbarhetsredovisningen och den tryckta versionen, har den tryckta versionen företräde.